The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Настройка iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (ACL, блокировки)
Изначальное сообщение [ Отслеживать ]

"Настройка iptables"  +/
Сообщение от sdi email(ok) on 27-Мрт-13, 06:39 
Добрый день!
Помогите разобраться с такой проблемой...
Имеется сервер ОС Ubuntu Server 12.04, установлен squid3. - все работает, компы выходят в инет. Настройки делал вот по этой статье: http://www.spohelp.ru/forums/17-gotovye-resheniya/topics/113...

интерфейс eth0 - смотрит в инет, ip получает динамически
eth1 - смотрит в локалку 192.168.2.0/24 - и имеет адрес 192.168.2.222

настройки iptables так же сделал по этой статье (ссылка выше)+ добавил немного своего
Вот мои правила iptables:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -X
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 22 -j DROP
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 80 -j DROP
iptables -A INPUT -p tcp -i eth0 -m tcp --dport 8080 -j DROP
iptables -A INPUT -i eth0 -p icmp --icmp-type 8 -j DROP

Теперь собственно вопрос, как сделать, чтобы определенный ip имел доступ в инет, в обход proxy? Что он нигде не светился в логах squid-а и т.п.
Покапавший в инете,нашел вот такое правило:iptables -t nat -A POSTROUTING -s 192.168.2.51 -o eth0 -j MASQUERADE но безрезультатно. Не работает. Пробовал еще вот это добавлять:

iptables -t nat -A POSTROUTING -s 192.168.2.51 -o eth0 -j MASQUERADE
iptables -A FORWARD -p tcp -m tcp -s 192.168.2.51 -j ACCEPT
iptables -A FORWARD -p tcp -m tcp -d 192.168.2.51 -j ACCEPT

так же ничего не вышло...

Хотя есть у меня другой proxy сервер, на нем ОС AltLinux, так вот на нем, вот это правило работает:  iptables -t nat -A POSTROUTING -s 192.168.2.51 -o eth0 -j MASQUERADE

Почему не работает у меня, не понятно...

PS: если это важно, то сервер мой, на котором НЕ работает - он виртуальный.

Очень нужно, помогите!!!!!!!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Настройка iptables"  +/
Сообщение от ipmanyak (ok) on 27-Мрт-13, 08:27 
Воспользуйтесь генератором правил онлайн - Easy Firewall Generator for IPTables
http://easyfwgen.morizot.net/gen/
После заполнения необходимых полей и нажатия кнопки Generate Firewall, если все нужные поля заполнены, получите готовый скрипт правил, если не хватает снова выдаст окно для заполнения . Скрипт причем с защитой SYN flood protection от  DDOS атак. Каждое правило идет с комментарием, это поможет вам понять что, как и для чего.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Настройка iptables"  –1 +/
Сообщение от sdi email(ok) on 27-Мрт-13, 08:37 
> Воспользуйтесь генератором правил онлайн - Easy Firewall Generator for IPTables
> http://easyfwgen.morizot.net/gen/

Я пробовал использовать этот генератор. Скрипт генерировал, но я так и не понял, какая строка отвечает за доступ в обход прокси. И скрипт получается большой очень, замудренный. По крайней мере, для меня, как для новичка возникают проблемы с пониманием его работы...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Настройка iptables"  +/
Сообщение от PavelR (??) on 27-Мрт-13, 08:51 

а теперь начните смотреть на то, как работают правила через

iptables -nvL

iptables -t nat -nvL


---

Научитесь диагностировать проблему на клиенте командами:


nslookup www.ru
tracert www.ru

telnet www.ru 80

ipconfig
ipconfig /all

----

в тяжелых случаях вам еще понадобится на сервере команда

tcpdump -ni eth0
tcpdump -ni eth1

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Настройка iptables"  +/
Сообщение от sdi email(ok) on 02-Апр-13, 08:30 
>[оверквотинг удален]
> Научитесь диагностировать проблему на клиенте командами:
> nslookup www.ru
> tracert www.ru
> telnet www.ru 80
> ipconfig
> ipconfig /all
> ----
> в тяжелых случаях вам еще понадобится на сервере команда
> tcpdump -ni eth0
> tcpdump -ni eth1

Да, спасибо.
Разобрался

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру